In het kort:
Een lek in de website van Kia maakte het mogelijk om zonder autorisatie vergaande controle over voertuigen te krijgen.
- Beveiligingsonderzoeker Sam Curry en zijn team ontdekten en meldden het lek.
- Het lek gaf ongeautoriseerde toegang tot dealerprivileges via de API van de webportal.
- Kwaadwillenden konden auto's lokaliseren, deuren ontgrendelen en motoren starten.
Het grote plaatje:
De kwetsbaarheid had potentieel ernstige gevolgen voor de privacy en veiligheid van Kia-eigenaren.
- Met alleen een kenteken konden onderzoekers persoonlijke gegevens van eigenaren achterhalen.
- Ze konden zichzelf aanwijzen als primaire accounteigenaar en commando's naar auto's sturen.
- Bijna elke Kia-auto geproduceerd na 2013 was kwetsbaar voor dit lek.
Wat volgt:
Kia heeft het lek inmiddels gedicht na melding door de onderzoekers in juni.
- Volgens Kia is het lek nooit uitgebuit door kwaadwillenden.
- Het incident benadrukt het belang van robuuste beveiliging in connected car-systemen.